L'aprovació del Reglamento (UE), del Parlament Europeu i del Consell de 13 de desembre de 2023 sobre normes harmonitzades per a un accés just a les dades i la seva utilització (Llei de Dades) suposa un important avanç en la regulació que la Unió Europea per facilitar l'accessibilitat de les dades. Es tracta d'una iniciativa ja contemplada en Estratègia Europea de Dades que té com a principals finalitats:
- Regular la posada a la disposició de dades a favor de les entitats públiques en situacions excepcionals.
- Promoure el desenvolupament de criteris d'interoperabilitat als espais de dades, els serveis de tractament de dades i els contractes intel·ligents.
- I, des de la perspectiva que ara ens interessa, impulsar la posada a la disposició de les dades que generen els productes i serveis connectats, ja sigui a favor d'els qui els utilitzen o dels tercers que aquests indiquin.
Referent a això, davant les dificultats dels usuaris en l'accés a les dades, el Reglament tracta de facilitar que puguin triar lliurement els proveïdors de serveis de reparació i altres serveis, ja que s'ha detectat que en molts àmbits els fabricants intenten reservar-se la seva utilització en condicions d'exclusivitat. Entre altres qüestions, es pretén impulsar el dret de l'usuari a decidir para quines finalitats i per qui es poden utilitzar les dades, sense perjudici de l'existència d'una sèrie de limitacions i condicionants que es contemplen en el propi Reglament.
Un important canvi d'orientació en la regulació
Mentre que la Directiva de dades obertes i reutilització de la informació del sector públic
i el Reglament sobre Governança de Dades se centren a establir regles i garanties que promoguin l'accés a les dades en poder de les entitats públiques, la nova regulació presta una especial atenció a les relacions entre subjectes privats. És a dir, permet als organismes públics exigir dades a certs subjectes privats en condicions excepcionals i per raons d'interès públic.
Un dels principals objectius del Reglament de Dades consisteix a fomentar no solament “el desenvolupament de productes connectats o serveis relacionats nous i innovadors i estimular la innovació als mercats de posventa, sinó també a estimular el desenvolupament de serveis totalment nous que utilitzin les dades en qüestió, fins i tot els basats en dades procedents de diversos productes connectats o serveis relacionats”.
A aquest efecte, s'ha considerat essencial establir obligacions clares i precises perquè els fabricants dels productes connectats, els qui els subministrin i els prestadors de serveis vinculats hagin de compartir amb els usuaris les dades generades.
Quines obligacions s'han establert?
Amb caràcter previ a la contractació dels productes i serveis, el titular de les dades –això és, el subministrador del producte o servei, que pot ser també el fabricant – haurà de proporcionar a l'usuari informació sobri:
- La quantitat i les condicions de les dades que es poden generar
- Com es pot accedir a aquestes dades
- Com es poden suprimir
Referent a això, s'exigeix que en el disseny dels productes i els serveis s'adoptin mesures adequades perquè, per defecte, les dades siguin accessibles, de manera gratuïta i directa, sobretot, en un format estructurat que permeti la seva lectura mecànica.
No obstant això, aquest dret està sotmès a certes condicions i limitacions amb la finalitat de garantir que no es veuen afectats altres béns i interessos jurídics:
- El titular de les dades no podrà dificultar que l'usuari accedeixi a les seves dades, però sí podrà exigir-li que s'identifiqui, tot i que tingui prohibit conservar la informació generada de manera indefinida.
- Podrà establir restriccions en el contracte quan, a conseqüència de l'accés de l'usuari a les dades, existeixi un risc per al funcionament del producte que pugui afectar a la salut o la seguretat de les persones.
- En cap cas podrà utilitzar les dades que s'obtinguin durant l'ús del producte o la prestació del servei per posar-los a la disposició d'un tercer, tret que sigui estrictament imprescindible per al compliment del contracte.
- També té prohibit de manera expressa utilitzar les dades per fer esbrinaments sobre les circumstàncies i l'activitat de l'usuari, com, per exemple, la seva situació econòmica.
Per la seva banda, el usuari també es veu condicionat per una sèrie d'obligacions específicament dirigides a garantir la bona fe de la seva relació jurídica amb el titular:
- No té permès utilitzar les dades per competir amb aquest últim, ja sigui de manera directa o a través d'un tercer a qui pugui proporcionar-los-hi,
- No pot aprofitar l'accés als mateixos per realitzar esbrinaments sobre l'activitat del fabricant del producte o, si escau, del titular de les dades.
- Juntament amb aquestes obligacions se li reconeix el dret a compartir les dades amb un tercer, que només podrà utilitzar-los per a les finalitats que li autoritzi. En concret, no podrà elaborar perfils tret que sigui necessari per prestar el servei, ni posar-los a la disposició d'un altre subjecte o desenvolupar un producte que competeixi amb aquell del que procedeixin originàriament les dades.
En tot cas, la regulació estableix una important limitació a tenir en compte pels usuaris, ja que s'exclou d'aquest règim a les microempreses i petites empreses. Amb una excepció: que haguessin rebut l'encàrrec de desenvolupar el producte o prestar el servei per part d'un subjecte que sí estigués inclòs en l'àmbit d'aplicació del Reglament.
Quines garanties es contemplen per assegurar l'efectivitat d'aquesta regulació?
Com succeeix amb caràcter general en qualsevol àmbit, l'usuari podrà acudir davant un òrgan judicial per exigir el respecte dels seus drets. A més, addicionalment, la nova regulació estableix la possibilitat de dirigir-se a l'autoritat designada a nivell estatal per garantir l'aplicació i execució de les previsions del Reglament. En el cas que la problemàtica es refereixi al tractament de dades personals, també podrà exercir els seus drets davant l'autoritat competent en aquest àmbit.
Referent a això, la Comissió Europea haurà de fer públic un llistat de les corresponents autoritats a partir de la informació proporcionada pels Estats. Aquests podran designar més d'una autoritat, indicant a quin li correspon la funció de coordinació. Aquestes autoritats comptaran amb els mitjans suficients: els seus integrants hauran de tenir l'especialització requerida per a l'acompliment de les seves funcions i es garantirà la seva imparcialitat, de manera que no podran rebre instruccions d'altres entitats.
Al marge d'aquesta via, el titular de les dades i l'usuari –o, si escau el tercer a qui aquest permeti la seva utilització—podran acordar voluntàriament sotmetre's a un òrgan de resolució de litigis certificat, la decisió dels quals haurà d'adoptar-se en un termini màxim de 90 dies. Aquest òrgan haurà d'acreditar-se davant l'Estat on estigui establert. Per a això haurà de justificar la seva imparcialitat, capacitat i independència. També haurà de demostrar que disposa d'unes normes procedimentals adequades i que és fàcilment accessible per mitjans electrònics.
En definitiva, amb la nova Llei de Dades no només s'ha establert un marc normatiu que reforça l'accés dels usuaris a les dades que es generen pels productes connectats que adquireixen i els serveis vinculats dels quals gaudeixen, sinó que, a més, s'han consagrat una sèrie de garanties específicament dirigides a assegurar el seu efectiu compliment.
